什麼行為觸犯個資法?構成要件、刑責與罰則總整理 「我只是在網路上公開他的電話,這樣也犯法?」 小明因為和網友吵架,一氣之下把對方的姓名、電話、住址全部 PO 上網,還號召網友去「關心」他。沒想到幾天後警察找上門,說他違反《個人資料保護法》(以下簡稱個資法),可能面臨刑責!究竟哪些行為會觸犯個資法?構成要件是什麼?刑責有多重?讓 TaiLexi 用白話文告訴你,並引用法院實際判決,讓你一次搞懂! --- 一、什麼是「個人資料」? 根據個資法第 2 條第 1 款,個人資料是指「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」。 簡單來說,只要能夠辨識出特定自然人,就算是個人資料。例如: - 直接識別:姓名、身分證字號、手機號碼、Email、住址。 - 間接識別:IP 位址、Cookie、消費紀錄、車牌號碼等,若與其他資料結合能識別出特定人,也算個資。 法院見解:在個資籌法字判決中,法院指出「緩起訴資料雖未直接記載當事人姓名,惟經與其他資料連結後,可能識別特定個人,即屬個資法所稱個人資料。」由此可知,即使是間接可識別的資料,也受個資法保護個資法保。 另外,特種個人資料(醫療、基因、性生活、健康檢查及犯罪前科)受到更嚴格的保護,原則上禁止蒐集、處理或利用,除非符合法定例外情形(個資法第 6 條)。 --- 二、哪些行為會觸犯個資法? 個資法規範三大行為:蒐集、處理、利用。 - 蒐集:取得個人資料。 - 處理:建立、記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出等。 - 利用:將蒐集的個資做為特定目的範圍內或範圍外的使用。 常見的觸法行為包括: 1. 未經同意蒐集個資(例如:店家在顧客不知情下蒐集臉部辨識資料)。 2. 超出特定目的範圍使用個資(例如:報名活動時填寫的電話,被主辦單位拿來發送廣告簡訊)。 3. 未採取安全措施導致個資外洩(例如:公司資料庫未加密,遭駭客入侵)。 4. 意圖損害他人利益而利用個資(例如:在網路上公開他人個資,號召網友肉搜)。 即使是「公開的個資」也不代表可以任意利用! 很多人以為,如果個資是當事人自己公開的(例如在 Facebook 上公開自己的電話),別人就可以自由使用。但法院實務並非如此。 真實判決:在111年度台上字第209號判決中,上訴人蘇子怡在網路上張貼告訴人的個人資料,雖然這些資料是告訴人「自行張貼,任何人均可在該網站上自由取得」,但法院認定蘇子怡「意圖損害告訴人之利益,而違反個人資料保護法第20條第1項規定,非公務機關未於蒐集特定目的必要範圍內利用個人資料」,構成犯罪,判處有期徒刑3月,得易科罰金。最高法院維持原判(參照111年度台上字第209號判決)。 由此可知,即使個資是公開的,如果你利用這些資料時「意圖損害他人」或「超出原本蒐集目的」,仍可能觸法。 --- 三、觸犯個資法的構成要件 要成立個資法刑事犯罪(第41條),必須符合以下要件: 1. 行為主體:非公務機關 個資法將規範對象分為「公務機關」與「非公務機關」。一般民眾、公司行號、社團等都屬於「非公務機關」。 但請注意:自然人如果是為了「個人或家庭活動」而蒐集、處理、利用個資,排除適用個資法(個資法第51條第1項第1款)。例如:在家裡記下朋友的電話方便聯絡,不會受罰;但如果是為了報復、營利等目的,就不算個人或家庭活動,仍受個資法規範。 行政機關見解:發法字第判決指出,「自然人是否受個資法規範,應視行為屬性判斷,非屬個人或家庭活動者,應依個資法第19條、第20條及第51條第1項第1款審查。」 2. 行為:違反個資法第19條(蒐集、處理)或第20條(利用)規定 - 第19條:非公務機關蒐集或處理個人資料,必須有「特定目的」,且符合下列情形之一(例如:經當事人同意、與當事人有契約關係、當事人自行公開、學術研究等)。 - 第20條:非公務機關利用個人資料,原則上應在蒐集時的「特定目的必要範圍」內為之。例外情形包括法律明文規定、為增進公共利益、經當事人同意等。 如果違反上述規定,就可能構成犯罪。 3. 結果:足生損害於他人 不要求實際發生損害,只要行為有造成損害的危險即可。 4. 主觀:故意 行為人必須知道自己違反個資法規定會怎樣,且足生損害於他人。如果還有「意圖營利」或「意圖損害他人利益」,可能影響量刑或構成加重條款。 --- 四、刑責與罰則總整理 違反個資法的法律責任可分為刑事責任、行政罰鍰與民事賠償。 (一)刑事責任 - 個資法第41條:意圖為自己或第三人不法之利益或損害他人之利益,而違反第6條第1項(特種個資)、第15條、第16條、第19條、第20條第1項規定,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。 違反個資法的適用往往需要搭配其他規定一併理解,建議參考網路法律自保指南掌握完整架構。 實務上,法院會根據情節輕重量刑。例如111年度台上字第209號判決中的被告,因意圖損害他人利益而利用個資,被判刑3月,得易科罰金。 (二)行政罰鍰 - 個資法第47條:非公務機關有第41條、第42條、第43條之情形,由目的事業主管機關處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰。 - 如果是公司違規,負責人可能同時受罰(個資法第50條)。 (三)民事賠償 - 個資法第28條:公務機關或非公務機關違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件五百元以上二萬元以下計算。 - 如果侵害情節重大,法院得依侵害情節,酌定損害額以上之賠償,最高不超過二億元。 --- 五、常見誤區與法院見解 ❌ 誤區一:個資法只處罰公司行號,一般民眾不會被罰? 正確觀念:個資法規範所有「非公務機關」,包括自然人。但如果是純粹「個人或家庭活動」則排除適用。然而,許多民眾在網路上公開他人個資的行為,通常帶有報復、嘲諷等目的,已非個人或家庭活動,因此仍受個資法規範(參照發法字第判決)。 ❌ 誤區二:對方自己公開的個資,我就可以任意使用? 正確觀念:即使個資是當事人自己公開的,若你利用這些資料時「意圖損害他人利益」或「超出特定目的範圍」,仍可能違法。如111年度台上字第209號判決所示,被告辯稱資料是告訴人自行張貼,法院仍判有罪。 ❌ 誤區三:我只是轉貼,沒有惡意,應該沒事吧? 正確觀念:法院會審酌行為人的「意圖」。若你轉貼個資時,明知可能造成他人損害(例如被騷擾),就可能被認定有損害意圖。如果是為了營利(例如販賣個資),刑責更重。 ❌ 誤區四:公司員工洩漏客戶個資,只有員工要負責? 正確觀念:公司若未善盡監督管理責任,也可能被依個資法處以行政罰鍰,甚至與員工連帶負民事賠償責任。此外,公司負責人可能依個資法第50條受罰。 --- 六、重要 Q&A Q1:在臉書上公開他人的姓名和電話,會不會觸犯個資法? A:很可能觸法。如果你未經他人同意,在臉書公開其姓名和電話,且具有損害他人利益的意圖(例如讓網友去騷擾他),就違反個資法第20條第1項,足生損害於他人,構成刑事犯罪。即使對方曾公開過這些資料,也不代表你可以任意轉貼利用(參照111年度台上字第209號判決)。 Q2:公司員工不小心把客戶資料外洩,公司要負責嗎? A:公司若未採取適當安全措施(例如未加密、未設定存取權限),導致個資外洩,公司會被主管機關依個資法第47條、第48條處以罰鍰,並需負民事賠償責任。公司負責人可能同時受罰。 Q3:收到行銷電話,可以告對方違反個資法嗎? A:如果對方是合法取得你的個資(例如你曾同意接收行銷),且在特定目的範圍內利用,可能不違法。但如果你從未同意,對方擅自蒐集你的電話並進行行銷,就可能違反個資法第19條、第20條。你可以向主管機關檢舉,或提起民事求償。 Q4:個資法是不是告訴乃論?刑事告訴期限多久? A:個資法第41條是「非告訴乃論」,也就是檢察官可以主動偵辦,被害人也可以提出告訴。告訴期限依刑事訴訟法規定,知悉犯人時起六個月內。 Q5:如果對方同意我使用他的個資,還違法嗎? A:如果取得當事人「同意」,且在使用範圍內,原則上不違法。但要注意,同意必須是明確、自願的,且當事人可以隨時撤回同意。此外,如果是特種個資(如醫療、犯罪前科),即使當事人同意,仍須符合個資法第6條但書規定,否則仍可能違法。 --- 七、如何避免觸法?自我保護這樣做 - 蒐集個資前:取得當事人同意、告知使用目的。 - 使用個資時:只在特定目的必要範圍內使用,不要用於不相干的事。 - 保護個資:採取適當安全措施(例如加密、存取控制),定期檢查。 - 離職或合作結束:刪除或返還個資,避免不當留存。 - 在網路上:不要隨意公開他人個資,即使是公開資訊,也要注意利用目的。 --- 結語 個資法不是只約束企業,一般民眾也可能觸法。在網路時代,個資外洩或濫用的風險大增,了解法律規定不僅能保護自己,也能避免不慎觸法。若你遇到個資被濫用的情況,記得保留證據,並尋求法律途徑救濟。如果還有疑問,歡迎諮詢專業律師,或使用 TaiLexi 的法律 AI 服務,快速獲得解答! 參考判決:個資籌法字111年度憲判字第13號111年度台上字第209號個資籌法字111年度台上字第209號法律字第個資籌法字111年度憲判字第13號發法字第發法字第111年度憲判字第13號111年度憲判字第13號111年度憲判字第13號111年度憲判字第13號法律字第 等判決書片段,提供法院實務見解。
